(19)
(11) EP 3 989 018 A1

(12) EUROPÄISCHE PATENTANMELDUNG

(43) Veröffentlichungstag:
27.04.2022  Patentblatt  2022/17

(21) Anmeldenummer: 21204120.6

(22) Anmeldetag:  22.10.2021
(51) Internationale Patentklassifikation (IPC): 
G05B 19/05(2006.01)
 G05B 9/03(2006.01)
(52) Gemeinsame Patentklassifikation (CPC) :
G05B 19/058; G05B 9/03; G05B 2219/14144; G05B 2219/14002; G05B 2219/14102
(84) Benannte Vertragsstaaten:
AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR
Benannte Erstreckungsstaaten:
BA ME
Benannte Validierungsstaaten:
KH MA MD TN

(30) Priorität: 23.10.2020 DE 102020128026

(71) Anmelder: Pilz GmbH & Co. KG
73760 Ostfildern (DE)

(72) Erfinder:
  • Gruber, Winfried
    73760 Ostfildern (DE)

(74) Vertreter: Witte, Weller & Partner Patentanwälte mbB 
Postfach 10 54 62
70047 Stuttgart
70047 Stuttgart (DE)

   


(54) STEUERVORRICHTUNG MIT SCHUTZMODUL


(57) Steuervorrichtung (10) mit Schutzmodul zur Steuerung einer technischen Anlage. Die Steuervorrichtung (10) hat einen modularen Aufbau mit einem Eingangsmodul (14), das eingerichtet ist, ein Eingangssignal, welches einen Zustand der technischen Anlage beschreibt, zu empfangen, und einem Ausgangsmodul (16), das eingerichtet ist, ein Ausgangssignal, welches die technische Anlage steuert, in Abhängigkeit des Eingangssignals auszugeben. Ferner ist ein Schutzmodul (100) in den modularen Aufbau integriert, welches eine Funktionsfähigkeit des Eingangsmoduls (14) und des Ausgangsmoduls (16) überwacht. Das Schutzmodul bestätigt in Abhängigkeit der Überwachung das Ausgangssignal des Ausgangsmoduls (16). Ferner bilden das Eingangsmodul (14) und das Ausgangsmodul (14) innerhalb des modularen Aufbaus eine erste Potentialgruppe (30) und das Schutzmodul (100) eine zweite von der ersten Potentialgruppe unabhängig Potentialgruppe (32).




Beschreibung


[0001] Die vorliegende Erfindung betrifft eine modulare Steuervorrichtung, ein Schutzmodul für eine solche Vorrichtung sowie ein entsprechendes Verfahren.

[0002] Steuervorrichtungen sind im Bereich der Automatisierungstechnik bekannt. Ihre Aufgabe ist das Steuern und Regeln von technischen Anlagen wie Maschinen oder Prozesse. Man unterscheidet zwischen verbindungsprogrammierten Steuerungen, die mittels einer festverdrahteten Logik Steuerungs- und Regelungsaufgaben wahrnehmen, und speicherprogrammierbaren Steuerungen, die frei programmierbar sind und so verschiedene Steuerungs- und Regelungsaufgaben ausführen können. Aufgrund ihrer Flexibilität und Anpassbarkeit haben sich Letztere für komplexe oder sich dynamisch ändernde Steuerungs- und Regelungsaufgaben der Prozess- und Automatisierungstechnik durchgesetzt.

[0003] Eine Steuervorrichtung bezeichnet man als modular, wenn sie sich aus einzelnen Komponenten zusammensetzt, die jeweils unterschiedliche Aufgaben erfüllen. In der Regel verfügt eine Steuerung mindestens über eine zentrale Recheneinheit, die auch als Kopfmodul bezeichnet wird. Das Kopfmodul bildet regelmäßig das erste Modul einer Modulreihe, die mindestens ein Eingangsmodul und mindestens ein Ausgangsmodul umfasst. Der Begriff Peripheriemodul fasst Eingangsmodule und Ausgangsmodule einheitlich zusammen. Die Eingangsmodule sind mit Gebern verbunden, um einen Zustand der technischen Anlage oder Maschine zu erfassen. Die Ausgangsmodule verfügen über Ausgänge, die mit Aktoren verbunden sind, um die technische Anlage oder Maschine gemäß der gewünschten Steuerungs- oder Regelaufgabe sowie in Abhängigkeit der Eingänge zu steuern. Die Steuervorrichtung ist regelmäßig als eine eigenständige Einheit mit einem Gehäuse oder einem Gehäuserahmen ausgebildet, in dem die Module in einer Reihe angeordnet sind.

[0004] Spezielle Steuerungen sind sichere Steuerungen (auch Sicherheitssteuerung oder Failsafe-(FS)-Steuerungen genannt). Diese erfüllen die gleichen Funktionen wie eine normale Steuerung, unterscheiden sich aber darin, dass sie zusätzlich sicherheitsgerichtete Aufgaben wahrnehmen. Sicherheitssteuerungen entstanden vor allem aus dem Wunsch heraus, Sicherheit ähnlich wie bei einer Standard-Steuerung per Programmierung verschalten zu können. In ihrer Funktion unterscheidet sich die Sicherheitssteuerung daher nur unwesentlich von Steuerungen für die Standardaufgaben. Intern jedoch verfügt die Sicherheitssteuerung über zusätzlich Hard- und Software, welche die sicherheitsgerichteten Funktionen wahrnehmen.

[0005] Eine Sicherheitssteuerung kann vereinfacht gesagt, aus zwei Standard-Steuerungen gebildet sein, die parallel ein Anwendungsprogramm abarbeiten, dasselbe Prozessabbild der Ein-/Ausgänge nutzen und sich ständig abgleichen. So zeichnet sich eine Sicherheitssteuerung unter anderem durch mindestens zwei getrennte Kanäle, einen diversitären Aufbau mit unterschiedlicher Hardware, ständigen Tests der Ein- und Ausgänge, ständigen Vergleichen der Anwenderdaten, einer Spannungs- und Zeitüberwachung sowie einem sicheren Abschaltverhalten im Fehler- oder Gefahrenfall aus.

[0006] Eine besondere Fehlerart, mit der auch Sicherheitssteuerungen konfrontiert sind, sind sogenannte Ausfälle aufgrund gemeinsamer Ursache (engl. common cause failures CCF), d.h. Ausfälle, die als Folge einer einzelnen Fehlerursache oder eines einzelnen Ereignisses auftreten. Fehler aufgrund gemeinsamer Ursachen sind dann von Bedeutung, wenn diese in unerwünschter Weise eine Redundanz eines sicherheitsrelevanten Teilsystems aufheben und so das Ausführen einer Sicherheitsfunktion verhindern. Bei Sicherheitssteuerungen, deren Grundprinzip das Bereitstellen von Redundanzen ist, ist das Auffinden und Ausschließen von Fehlern gemeinsamer Ursache daher von großer Bedeutung.

[0007] Es ist eine Aufgabe der vorliegenden Erfindung eine Steuervorrichtung anzugeben, die besser gegen Ausfälle aufgrund gemeinsamer Ursache geschützt ist. Ferner ist es eine Aufgabe eine Steuervorrichtung anzugeben, die gegen Ausfälle aufgrund gemeinsamer Ursache geschützt ist und gleichzeitig flexible anpassbar ist. Schließlich ist es eine Aufgabe, eine Möglichkeit zur Verminderung von Ausfällen aufgrund von Fehlern gemeinsamer Ursache anzugeben, die bei bestehenden Steuervorrichtung einfach nachrüstbar ist.

[0008] Ein Aspekt der vorliegenden Erfindung ist das Bereitstellen einer Steuervorrichtung mit modularem Aufbau zur Steuerung einer technischen Anlage, umfassend: ein Eingangsmodul, das eingerichtet ist, ein Eingangssignal, welches einen Zustand der technischen Anlage beschreibt, zu empfangen, ein Ausgangsmodul, das eingerichtet ist, ein Ausgangssignal, welches die technische Anlage steuert, in Abhängigkeit des Eingangssignal auszugeben, und ein Schutzmodul, das in den modularen Aufbau integriert ist und dazu eingerichtet ist, eine Funktionsfähigkeit des Eingangsmoduls und des Ausgangsmoduls zu überwachen und abhängig davon das Ausgangssignal des Ausgangsmodul zu bestätigen, wobei das Eingangsmodul und das Ausgangsmodul innerhalb des modularen Aufbaus eine erste Potentialgruppe bilden, und wobei das Schutzmodul eine zweite von der ersten Potentialgruppe unabhängige Potentialgruppe innerhalb des modularen Aufbaus bildet.

[0009] Ein weiterer Aspekt der vorliegenden Erfindung ist das Bereitstellen eines Schutzmoduls zur Überwachung einer Funktionsfähigkeit eines Eingangsmoduls und eines Ausgangsmoduls einer Steuervorrichtung mit modularem Aufbau, umfassend: eine Bus-Baugruppe, die eingerichtet ist, eine Zustandsinformation von dem Eingangsmodul und dem Ausgabemodul zu empfangen, eine Logik-Baugruppe, die eingerichtet ist, die Zustandsinformation von dem Eingangsmodul und dem Ausgabemodul zu evaluieren, eine Ausgabe-Baugruppe, die eingerichtet ist, basierend auf der Evaluierung ein Ausgangssignal des Ausgangsmoduls zu bestätigen, wobei das Eingangsmodul und das Ausgangsmodul innerhalb des modularen Aufbaus eine erste Potentialgruppe bilden, und wobei zumindest die Logik-Baugruppe des Schutzmoduls eine zweite von der ersten Potentialgruppe unabhängige Potentialgruppe innerhalb des modularen Aufbaus bildet.

[0010] Ein weiterer Aspekt der vorliegenden Erfindung ist das Bereitstellen eines Verfahren zur Steuerung einer technischen Anlage, umfassend:
  • Bereitstellen einer Steuervorrichtung mit modularem Aufbau mit mindestens einem Eingangsmodul und einem Ausgangsmodul;
  • Empfangen eines Eingangssignals über das Eingangsmodul, welches einen Zustand der technischen Anlage beschreibt;
  • Ausgeben eines Ausgangssignals über das Ausgangsmodul, welches die technische Anlage steuert, in Abhängigkeit des Eingangssignals;
  • Integrieren eines Schutzmoduls in den modularen Aufbau, welches eine Funktionsfähigkeit des Eingangsmoduls und des Ausgangsmoduls überwacht;
  • Bilden einer ersten Potentialgruppe innerhalb des modularen Aufbaus, welcher das Eingangsmodul und das Ausgangsmodul umfasst; und
  • Bilden einer zweiten von der ersten Potentialgruppe unabhängigen Potentialgruppe innerhalb des modularen Aufbaus, welche das Schutzmodul umfasst.


[0011] Es ist somit eine Idee, bei einer modularen Steuervorrichtung mindestens ein Modul als Schutzmodul vorzusehen, das eine eigene, von einer Potentialgruppe der anderen Module getrennte Potentialgruppe definiert. Dieses Schutzmodul ist eingerichtet, direkt oder indirekt die Funktionsfähigkeit eines oder mehrerer Module der anderen Potentialgruppe zu überwachen. Funktionsfähigkeit beutet in diesem Zusammenhang, dass die Module in einem Zustand sind, in dem sie ihren ordnungsgemäßen Betrieb wahrnehmen können.

[0012] Eine Potentialgruppe ist hier definiert durch einen gemeinsamen Zugriff einer Gruppe von Modulen auf ein Spannungspotential bzw. eine gemeinsame Spannungsversorgung. Das gemeinsame Spannungspotential kann eine gemeinsame Betriebsspannungsversorgung sein oder sich auf eine gemeinsam genutzte Peripheriespannung, die in die Module eingespeist bzw. von diesen abgegeben wird, beziehen. Gemeinsam bedeutet hier, dass dasselbe Potential an verschiedenen Modulen anliegt und die Module hiervon Gebrauch machen können. Eine von dieser Potentialgruppe getrennte bzw. unabhängige Potentialgruppe ist eine Potentialgruppe, die zumindest galvanisch von dieser getrennt ist. Ein Modul, das zu einer anderen Potentialgruppe gehört, verfügt somit über einen Zugriff auf ein anderes Spannungspotential, welches von dem ersten Spannungspotential unabhängig ist. Das Schutzmodul kann eine eigene Betriebsspannungsversorgung aufweisen oder eine Peripheriespannung aus einer anderen Bezugsquelle aufnehmen als die Module der anderen Potentialgruppe.

[0013] Das Schutzmodul, oder zumindest einige Teile hiervon, sind folglich galvanisch von den anderen Modulen in dem modularen Aufbau getrennt. Gleichzeitig ist das Schutzmodul mit den anderen Modulen koppelbar, um diese überwachen und ggf. auf diese einwirken zu können. Das Schutzmodul und die anderen Module können über Kommunikationsschnittstellen miteinander verbunden sein, worüber zumindest das Schutzmodul einen Zustand der anderen Module bestimmen kann, um in Abhängigkeit des erfassten Zustands den von den anderen Modulen gesteuerten Prozess zu beeinflussen. Die Kommunikationsschnittstellen sind so eingerichtet, dass sie eine Trennung der ersten Potentialgruppe und der zweiten Potentialgruppe nicht durchbrechen. Mit anderen Worten können sich die Module der ersten Potentialgruppe und der zweiten Potentialgruppe auf einer logischen Ebene beeinflussen, ohne von dem gleichen Potential gespeist zu werden bzw. ohne auf eine gemeinsame Peripheriespannung für die Steuerung zurückgreifen zu müssen.

[0014] Der modulare Aufbau mit einem zusätzlichen Schutzmodul in der vorstehend beschriebenen Weise, hat den Vorteil, dass ein Fehler oder eine Unregelmäßigkeit hervorgerufen durch das die Potentialgruppe definierende Potential keinen Einfluss auf die Funktion des Schutzmoduls der anderen Potentialgruppe hat. Darüber hinaus ist das Schutzmodul eingerichtet, zumindest das Ausgangssignal des einen Ausgangsmoduls oder mehrerer Ausgangsmodule der anderen Potentialgruppe zu bestätigen. Damit kann das Schutzmodul bei einem Fehler, der von einem die Potentialgruppe definierenden Potential ausgelöst wird und damit alle Module betrifft, weiterhin steuernd auf die technische Anlage einwirken und diese in einen sicheren Zustand überführen. Beispielsweise kann das Schutzmodul die Anlage in einen sicheren Zustand überführen, indem es die Ausgänge abschaltet und die technische Anlage stilllegt. Fehler, die auf das definierende Potential einer Potentialgruppe zurückgehen, bspw. hervorgerufen durch eine defekte Stromversorgung oder eine Überspannung, sind auf diese Weise beherrschbar. Der vorgeschlagene Ansatz schließt somit eine weitere Quelle für Fehler gemeinsamer Ursache effektiv aus.

[0015] Das Schutzmodul integriert sich wie jedes weitere Modul in den modularen Aufbau der Steuervorrichtung. Änderungen an der Steuervorrichtung selbst sind somit nicht erforderlich. Die zusätzliche Schutzfunktion ist somit kostengünstig und effizient umsetzbar. Ferner können bestehende modulare Steuervorrichtungen einfach von dem zusätzlichen Schutz gegen Fehler gemeinsamer Ursache profitieren. Das Schutzmodul erweitert somit nicht nur den Schutzumfang neuer Steuervorrichtungen, sondern dient auch zur Ergänzung älterer Steuervorrichtungen um diese Funktion. Zudem ist das Schutzmodul durch die nahtlose Integration in die modulare Struktur flexible einsetzbar und für unterschiedliche Anwendungsfällen verwendbar.

[0016] In einer weiteren Ausgestaltung kann die erste Potentialgruppe das Ausgangssignal bereitstellen und die zweite Potentialgruppe kann ein Freigabesignal zur Bestätigung des Ausgangssignals bereitstellen.

[0017] Das Ausgangssignal und ein Signal, welches dieses bestätigt, entstammen somit unterschiedlichen Potentialgruppen. Ein Fehler in einer der Potentialgruppen führt somit nicht zu einem Kontrollverlust, da ein redundantes Signal aus einer anderen Potentialgruppe bereitgestellt wird.

[0018] In einer weiteren Ausgestaltung können das Eingangsmodul, das Ausgangsmodul und das Schutzmodul je ein Busmodulteil umfassen, über welches das Eingangsmodul, das Ausgangsmodul und das Schutzmodul miteinander verbunden sind, wobei das Busmodulteil des Schutzmoduls eine galvanische Trenneinrichtung aufweist, die eingerichtet ist, das Busmodulteil des Schutzmoduls von weiteren Komponenten des Schutzmoduls galvanisch zu trennen.

[0019] Für das Schutzmodul bedeutet diese Ausgestaltung, dass eine galvanische Trennung innerhalb des Schutzmoduls am Übergang zum Busmodulteil stattfindet. Das Busmodulteil, über welches eine Kommunikation mit den anderen Modulen der modularen Anordnung realisierbar ist, ist somit der ersten Potentialgruppe zugeordnet, die von der Potentialgruppe des Schutzmoduls verschieden ist. Diese Ausgestaltung ermöglicht es, das Schutzmodul einfach in bestehende Steuervorrichtungen zu integrieren, auch wenn diese über eine für die Module gemeinsame Backplane verfügen, welche die Kommunikationsverbindung zwischen den Modulen bereitstellt. Die galvanische Trennung findet somit im Schutzmodul statt und ist für die übrige Steuervorrichtung transparent.

[0020] In einer weiteren Ausgestaltung können das Eingangsmodul und das Ausgangsmodul eingerichtet sein, in definierten Abständen dem Schutzmodul eine Zustandsinformation zukommen zu lassen, wobei das Schutzmodul eingerichtet ist, das Ausgangssignal in Abhängigkeit der gesendeten Zustandsinformation zu bestätigen.

[0021] Das Schutzmodul kann in dieser Ausgestaltung somit nach dem Prinzip eines "Watchdogs" arbeiten. Nur wenn das Schutzmodul ein Signal als Lebenszeichen des Ein- oder Ausgangsmoduls empfängt, bestätigt das Schutzmodul das Ausgangssignal und erlaubt damit den Betrieb der technischen Anlage. Ein Watchdog lässt sich besonders leicht ohne Hardwareanpassung der Ein- und Ausgangsmodule implementieren.

[0022] In einer weiteren Ausgestaltung kann die erste Potentialgruppe neben dem Eingangsmodul und dem Ausgangsmodul ein oder mehrere weitere Module umfassen, die für eine Bereitstellung des Ausgangssignals relevant sind und die jeweils eingerichtet sind, das Signal in dem definierten Abstand zu senden, wobei das Schutzmodul dazu eingerichtet ist, in Abhängigkeit des Empfangs der Signale aller relevanten Module das Ausgangssignal zu bestätigen.

[0023] Das Schutzmodul kann somit mehrere Module überwachen. Unter anderem kann das Schutzmodul auch ein Kopfmodul, welches eine zentrale Recheneinheit umfasst, überwachen. Für eine Vielzahl von Modulen in einer Potentialgruppe ist daher ein einzelnes Schutzmodul ausreichend, um den zusätzlich Schutz gegen Fehler gemeinsamer Ursache zu implementieren. Die Umsetzung ist auf diese Weise sehr effizient möglich.

[0024] In einer weiteren Ausgestaltung kann das Schutzmodul einen ersten Versorgungsanschluss aufweisen, um mit einem Potential verbunden zu werden, welches die zweite Potentialgruppe bildet.

[0025] Das Schutzmodul kann somit einen eignen Anschluss zur Kopplung mit einer Spannungsversorgung umfassen, über die das Schutzmodul das die zweite Potentialgruppe definierende Potential aufnimmt. Das Schutzmodul verfügt demnach über einen von der übrigen Steuervorrichtung unabhängigen Versorgungsanschluss. Hierbei kann es sich bspw. um einen in der Automatisierungstechnik üblichen 24V-Anschluss handeln. Das Potential, welches die zweite Potentialgruppe definiert, kann der Art nach identisch zu dem Potential sein, welches die erste Potentialgruppe definiert.

[0026] In einer weiteren Ausgestaltung kann das Schutzmodul eine Ausgabe-Baugruppe aufweisen, die eingerichtet ist, das Ausgangssignal des Ausgangsmoduls der ersten Potentialgruppe bereitzustellen.

[0027] Gemäß dieser Ausgestaltung kann das Schutzmodul direkt Einfluss auf das Ausgangsmodul nehmen, indem es ein Potential für die Bereitstellung des Ausgangssignals zur Verfügung stellt. Anstelle das Ausgangssignal über ein weiteres, eigenes Signal zu bestätigen, erfolgt in diesem Fall die Bestätigung, indem das Schutzmodul das Potential für das Ausgangsmodul bereitstellt oder nicht. Dies vereinfacht unter anderem eine Verkabelung der Steuervorrichtung mit der Peripherie, da das Ausgangsmodul unverändert mit der Peripherie verbunden werden kann. Eine Kombination der einzelnen Signale des Ausgangsmoduls und des Schutzmoduls ist nicht erforderlich.

[0028] In einer weiteren Ausgestaltung kann das Schutzmodul hierfür einen zweiten Versorgungsanschluss aufweisen, der die Ausgabe-Baugruppe speist, wobei die Ausgabe-Baugruppe galvanisch von dem Schutzmodul getrennt ist. Zum Speisen des Ausgangsmoduls kann die Ausgabe-Baugruppe somit einen weiteren Versorgungsanschluss aufweisen. Ein erster Anschluss versorgt somit eine Logik-Baugruppe des Schutzmoduls und der zweite Anschluss die Ausgabe-Baugruppe. Die Ausgabe-Baugruppe und die Logik-Baugruppe sind voneinander galvanisch getrennt. Gleichzeitig sind die Logik-Baugruppe und die Ausgabe-Baugruppe so gekoppelt und zu einem Modul integriert, dass die Logik-Baugruppe die Ausgabe-Baugruppe steuern kann. Die Logik-Baugruppe ist eingerichtet, über die Ausgabe-Baugruppe die Bereitstellung eines Potentials für die mit der Ausgabe-Baugruppe gekoppelten Ausgangsmodule an- bzw. abzuschalten.

[0029] In einer weiteren Ausgestaltung ist das Schutzmodul mehrkanalig-redundant ausgebildet.

[0030] Wie bei sicheren (Peripherie-)Modulen üblich kann das Schutzmodul somit eine redundante Ausgestaltung der Logik-Baugruppe aufweisen, die eingerichtet ist, sich selbst zu überwachen. Auf diese Weise kann das Schutzmodul die Anforderungen einer hohen Sicherheitskategorie erfüllen und Fehler innerhalb des Moduls beherrschbar machen.

[0031] Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.

[0032] Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung näher erläutert:

Fig. 1 zeigt eine schematische Darstellung eines ersten Ausführungsbeispiels einer Steuervorrichtung mit einem Schutzmodul.

Fig. 2 zeigt in einer schematischen Darstellung ein Ausführungsbeispiel eines Verfahrens zur Steuerung einer technischen Anlage mit einer Steuervorrichtung, die ein Schutzmodul aufweist.

Fig. 3 zeigt eine schematische Darstellung eines zweiten Ausführungsbeispiels einer Steuervorrichtung mit einem Einspeisemodul, das die Funktion eines Schutzmoduls wahrnimmt.

Fig. 4 zeigt eine schematische Darstellung eines ersten Ausführungsbeispiels eines Schutzmoduls für eine Steuervorrichtung.

Fig. 5 zeigt eine schematische Darstellung eines zweiten Ausführungsbeispiels eines Schutzmoduls in Form eines Einspeisemoduls für eine Steuervorrichtung.



[0033]  Fig. 1 zeigt ein erstes Ausführungsbeispiel eine Steuervorrichtung mit einem Schutzmodul. Die Steuervorrichtung ist in der Gesamtheit mit der Bezugsziffer 10 bezeichnet.

[0034] Die Steuervorrichtung 10 hat einen modularen Aufbau. Im vorliegenden Ausführungsbeispiel setzt sich die Steuervorrichtung aus vier einzelnen Modulen zusammen. Das erste Modul ist ein Kopfmodul 12, das zweite Module ist ein Eingangsmodul 14, das dritte Modul ist ein Ausgangsmodul 16 und das vierte Modul ist ein Schutzmodul 100.

[0035] Die Module können jeweils in eigenen Gehäusen (18a-18d) untergebracht sein und zu der Steuervorrichtung 10 kombiniert werden. Die Reihenfolge, in der die Module angeordnet sind, ist zunächst unerheblich und die Module müssen nicht in der hier dargestellten Reihenfolge angeordnet sein. Denkbar ist jedoch auch, dass in einem anderen Ausführungsbeispiel die Reihenfolge der nebeneinander angeordneten Module von Bedeutung ist. Auch die Anzahl der Module ist nicht auf die hier dargestellten vier Module beschränkt. Die Steuervorrichtung 10 kann eine Vielzahl weiterer Ein- und Ausgangsmodulen (Peripheriemodule) neben dem üblicherweise einzelnen Kopfmodul umfassen. Ferner sind weitere Module mit anderen Funktionen als die hier dargestellte Ein- und Ausgabe denkbar. Diese weiteren Module können in äquivalenter Weise von dem Schutzmodul profitieren. Die Steuervorrichtung 10 kann als eine eigenständige Einheit mit einem Gehäuse oder einem Gehäuserahmen ausgebildet sein, in dem die einzelnen Module in einer Reihe angeordnet sind. Das Gehäuse samt der einzelnen Module kann zentral in einem Schaltschrank platziert werden, wobei die Peripheriemodule direkt oder indirekt (bspw. über einen Feldbus) mit der Peripherie verbunden werden.

[0036] Ferner können die Module der Steuervorrichtung selbst auch modular aufgebaut sein. Der modulare Aufbau der einzelnen Module wird im Folgenden als vertikale Modularität bezeichnet, während der modulare Aufbau der Steuervorrichtung 10 mit den einzelnen Modulen innerhalb eines Gehäuses als horizontale Modularität bezeichnet wird.

[0037] Ein einzelnes Modul kann eine Ein-/Ausgabe-Baugruppe 20, eine Logik-Baugruppe 22 sowie eine Bus-Baugruppe 24 umfassen, die zu einem Modul integriert sind.

[0038] Die Ein-/Ausgabe-Baugruppe 20 eines Moduls implementiert die physische Schnittstelle zur Peripherie, um ein Prozessabbild der Eingänge PAE zu erfassen und Ausgänge bzgl. eines Prozessabbilds der Ausgänge PAA zu setzen. Eine Ein-/Ausgabe-Baugruppe umfasst eine Vielzahl von Anschlüssen zum Anschließen von Sensoren und Aktoren, um einerseits Eingangssignale von den Sensoren zu empfangen und andererseits Ausgangssignale an die Aktoren abzugeben. Ein- und Ausgabe kann, wie hier durch die Doppelfeile angedeutet, redundant erfolgen.

[0039] Die Logik-Baugruppe 22 eines Moduls bildet den Kern eines Moduls. In dieser Baugruppe findet die eigentliche Signalverarbeitung (Logik) durch entsprechende Signalverarbeitungseinrichtungen 26 statt. Die Verarbeitung umfasst die Bewertung der erfassten Zustände sowie das Bestimmen der vorzunehmenden Reaktion in Abhängigkeit der Bewertung. Die Signalverarbeitung kann durch Mikrocontroller (µC) erfolgen, ist aber nicht auf solche beschränkt. Andere Signalverarbeitungseinrichtungen wie CPU, GPU, ASIC etc. sind gleichermaßen denkbar. Zur Fehlervermeidung und/oder Fehlererkennung können die Module zwei oder mehrere Signalverarbeitungseinrichtungen 26 aufweisen, wie hier durch die Suffixe a und b für die einzelnen Module angedeutet ist. Die Signalverarbeitungseinrichtungen 26 können die Ein- und Ausgangssignale parallel verarbeiten bzw. erzeugen, sich gegenseitig abgleichen und überwachen. Man spricht in diesem Zusammenhang auch von einer mehrkanalig-redundanten Auslegung. Eine mehrkanalig-redundanten Auslegung der einzelnen Module ist die bekannteste Auslegung zur Bereitstellung einer fehlersicheren Einrichtung.

[0040] Die Bus-Baugruppe 24 bildet die Kommunikationsschnittstelle zu den anderen Modulen. Neben einer Kommunikationsverbindung zu den Signalverarbeitungseinrichtungen 26 eines Moduls umfasst die Bus-Baugruppe 24 jeweils Querverbindungen zu den benachbarten Bus-Baugruppen der nebenliegenden Module. Auf diese Weise bilden die nebeneinander geschalteten Bus-Baugruppen 24 einen Kommunikationsbus, über den die Module der Steuervorrichtung miteinander kommunizieren können. Die Signalverarbeitungseinrichtungen 26 des Eingangsmoduls 14, des Ausgangsmoduls 16 sowie des Schutzmoduls 100 können über den Bus Daten austauschen. Ebenso kann das Kopfmodul 12 über den Bus Daten mit den anderen Modulen austauschen. Die Bus-Baugruppen 24 sind hier jeweils als Modulteile der einzelnen Module ausgebildet. Denkbar ist jedoch auch, dass die Bus-Baugruppen 24 als eine einzelne Backplane ausgebildet sind, die mit dem Kopfmodul gekoppelt ist und auf die die einzelnen Module aufsteckbar sind.

[0041] Das Schutzmodul 100 hat einen ähnlichen Aufbau wie ein Peripheriemodul und lässt sich entsprechend wie ein weiteres Peripheriemodul in den modularen Aufbau der Steuervorrichtung integrieren. Wie die Peripheriemodule hat das Schutzmodul 100 mindestens eine Logik-Baugruppe 22 sowie eine Bus-Baugruppe 24. Ferner kann das Schutzmodul 100 in verschiedenen Ausführungsformen eine Ein-/Ausgabe-Baugruppe 20 aufweisen.

[0042] Die Signalverarbeitungseinrichtungen 26 des Schutzmoduls 100 tauschen Daten und Signale mit den Peripheriemodulen 14, 16 und dem Kopfmodul 12 aus. Wie im Nachfolgenden noch beschrieben wird, überwacht das Schutzmodul 100 die ordnungsmäßige Funktion der Peripheriemodule 14, 16 und des Kopfmoduls 12. Im Falle eines ordnungsmäßigen Betriebs der Peripheriemodule 14, 16 und des Kopfmoduls 12 bestätigt das Schutzmodul 100 die Ausgangssignale der Ausgangsmodule. Zu diesem Zweck kann das Schutzmodul 100 eine eigene Ausgabe-Baugruppe umfassen, die in Abhängigkeit der Signalverarbeitung der Logik-Baugruppe ein zusätzliches Ausgangssignal bereitstellt. Die Bestätigung der Ausgangssignale der Ausgangsmodule der Steuervorrichtung kann dann über eine "UND"-Verknüpfung dieser Ausgangssignale erfolgen, sodass ein verknüpftes Ausgangssignal 28 nur dann erzeugt wird, wenn das Ausgangssignal des Schutzmoduls sowie die zu bestätigenden Ausgangssignale an der "UND"-Verknüpfung anliegen. Es versteht sich, dass dies nur eine Möglichkeit zur Bestätigung des Ausgangssignals darstellt.

[0043] Die Steuervorrichtung 10 kann zwei Potentialgruppen umfassen. Die erste Potentialgruppe 30 beinhaltet hier das Kopfmodul 12, das Eingangsmodul 14 sowie das Ausgangsmodul 16. Die zweite Potentialgruppe 32 umfasst die Logik-Baugruppe und die Ausgabe-Baugruppe des Schutzmoduls 100. Zur Verdeutlichung ist der Bereich der zweiten Potentialgruppe 32 schraffiert dargestellt.

[0044] Ein erster Versorgungsspannungsanschluss 34 speist die erste Potentialgruppe 30 und ist bspw. am Kopfmodul angeordnet. Ein zweite Versorgungsanschluss 36 speist die zweite Potentialgruppe 32 und ist am Schutzmodul 100 angeordnet. Die zugehörigen Potentiale der Potentialgruppen 30, 32 können der Art nach identisch sein und bspw., wie hier dargestellt, 24V betragen. Darüber hinaus sind die Potentialgruppen 30, 32 unabhängig voneinander und innerhalb der Steuervorrichtung galvanisch voneinander getrennt. Es versteht sich, dass eine Aufteilung der Potentialgruppen 30, 32 nicht auf die hier dargestellte Aufteilung beschränkt ist, solange zumindest das Ausgangssignal des Schutzmoduls von einer anderen Potentialgruppe gespeist wird, als die Ausgangssignale der zu überwachenden Module.

[0045] Indem das Schutzmodul als eigenständiges Modul ausgebildet ist, kann eine Trennung der Potentialgruppen 30, 32 einfach erreicht werden. Das Schutzmodul muss lediglich dazu eingerichtet sein, mit den anderen Modulen kommunizieren zu können. Durch eine entsprechende Kommunikationsschnittstelle mit Trenneinrichtung 38 ist dies möglich, ohne die galvanische Trennung der Potentialgruppen aufzuheben. Die Trenneinrichtung 38 der Kommunikationsschnittstelle kann bspw. über einen Optokoppler realisiert werden, der eine Signalübertragung zwischen zwei galvanisch getrennten Stromkreisen ermöglicht. Ein Optokoppler wird üblicherweise aus einer Leuchtdiode (LED) oder Laserdiode (LD) als optischem Sender und einer Photodiode oder einem Fototransistor als optischem Empfänger gebildet.

[0046] Die Trenneinrichtung 38 der Kommunikationsschnittstelle ist in der Ausführung gemäß Fig. 1 zwischen der Logik-Baugruppe 22 und der Bus-Baugruppe 24 angeordnet. Es versteht sich, dass auch andere Anordnungen der Trenneinrichtung 38 denkbar sind. In einem anderen Ausführungsbeispiel kann die Trenneinrichtung 38 bspw. auch in die Bus-Baugruppe 24 integriert sein, wobei je die Querverbindungen eine galvanische Trennung beinhalten.

[0047] Mit Bezug auf die Fig. 2 wird im Folgenden die Funktionsweise der Steuervorrichtung 10 näher beschrieben. Fig. 2 zeigt in einer schematischen Darstellung ein Ausführungsbeispiel eines Verfahrens zur Steuerung einer technischen Anlage mit einer Steuervorrichtung, die ein Schutzmodul aufweist.

[0048] Das Verfahren umfasst das Bereitstellen einer Steuervorrichtung mit modularem Aufbau nach einem Ausführungsbeispiel dieser Offenbarung mit mindestens einem Eingangsmodul und einem Ausgangsmodul (S1).

[0049] Über das Eingangsmodul empfängt die Steuervorrichtung mindestens ein Eingangssignal (S2), welches einen Zustand der technischen Anlage repräsentiert. Das Eingangssignal kann ein Signal eines Sicherheitssensors sein, bspw. einer Lichtschranke oder eines Not-Aus-Schalters. Die Summe der Eingangssignale ergibt das Prozessabbild der Eingänge PAE und spiegelt somit den Zustand der technischen Anlage wieder.

[0050] Über das Ausgangsmodul gibt die Steuervorrichtung mindestens ein Ausgangssignal zum Steuern von Aktoren aus. Die Summe der Ausgangssignale wird durch das Prozessabbild der Ausgänge PAA bestimmt. Die Aktoren können bspw. Schütze in einer Stromversorgung der technischen Anlage sein, die nur bei Vorhandensein des Ausgangssignals eine Stromversorgung der technischen Anlage freigeben. Es versteht sich, dass das Abschalten der technischen Anlage nur eine Möglichkeit darstellt, die technische Anlage in einen sicheren Zustand zu überführen. In einem anderen Ausführungsbeispiel kann das Ausgangssignal auch eine anderweitige Steuerfunktion auslösen, die die technische Anlage in eine den Bedingungen entsprechende sichere Stellung verfährt, ohne die Anlage stromloszuschalten.

[0051] Ferner beinhaltet das Verfahren das Integrieren eines Schutzmoduls in den modularen Aufbau der Steuervorrichtung (S4). Das Schutzmodul ist eingerichtet, zumindest die Funktionsfähigkeit der Peripheriemodule, d.h. des Eingangsmoduls und des Ausgangsmoduls, zu überwachen. In einem anderen Ausführungsbeispiel kann das Schutzmodul auch noch weitere Module bspw. das Kopfmodul überwachen. Einzelheiten des Überwachungsvorgangs werden nachfolgend noch näher erläutert.

[0052] Die letzten Schritte des Verfahrens (S5, S6) beinhalten das Bilden von definierten Potentialgruppen innerhalb des modularen Aufbaus. Die getrennten Potentialgruppen ermöglichen eine unabhängige Überwachung der Module durch das Schutzmodul, sodass Fehler in der Stromversorgung der Module sich nicht gleichsam auf die Module auswirken können.

[0053] Im Schritt S5 wird eine erste Potentialgruppe gebildet, die mindestens die Peripheriemodule umfasst. Die erste Potentialgruppe definiert sich bspw. durch das Anlegen einer Versorgungsspannung an einen Versorgungsanschluss der Module.

[0054] Im Schritt S6 wird anschließend eine zweite Potentialgruppe gebildet, die das Schutzmodul umfasst. Die zweite Potentialgruppe ist unabhängig von der ersten Potentialgruppe innerhalb des modularen Aufbaus der Steuervorrichtung. Das Schutzmodul verfügt somit zumindest über einen von den anderen Modulen galvanisch getrennten Stromkreis zum Betrieb der Überwachung sowie der Bereitstellung der Bestätigung des Ausgangssignals. Das Schutzmodul kann zum Bilden der zweiten Potentialgruppe über einen weiteren Versorgungsanschluss mit einer Versorgungsspannung gekoppelt sein.

[0055] Im Folgenden wird ein möglicher Überwachungsvorgang des Schutzmoduls beschrieben. Bei diesem Vorgang arbeitet das Schutzmodul nach dem Prinzip eines "Watchdog". Hierbei senden die zu überwachenden Module kontinuierlich in definierten Abständen ein Signal aus, das die Funktionsfähigkeit des Moduls anzeigt. Ein solches Signal wird auch als "Heartbeat"-Signal bezeichnet. Nur wenn das Schutzmodul das Heartbeat-Signal erwartungsgemäß empfängt, stimmt das Schutzmodul dem Ausgang der Steuervorrichtung zu. Zustimmen kann bspw. über eine "UND"-Verknüpfung eines Ausgangssignals des Schutzmoduls mit den Ausgängen der Steuervorrichtung erfolgen, sodass eine Betriebsfreigabe nur dann erfolgt, wenn alle Ausgangsignale sowohl der Steuerung als auch des Schutzmoduls vorhanden sind. Wenn das Schutzmodul kein Heartbeat-Signal empfängt, unterlässt es die Bestätigung der Ausgabe der Steuervorrichtung. Dies führt dazu, dass die technische Anlage in einen sicheren Zustand überführt wird oder in einem solchen verbleibt. Bspw. kann dies herbeigeführt werden, indem die Ausgänge der Steuervorrichtung Schütze in einer Stromversorgung der technischen Anlage ansteuern, die nur bei Vorhandensein eines Ausgangssignals der Steuervorrichtung anziehen und die technische Anlage mit einer Spannung versorgen. Fallen die Schütze hingegen ab, weil kein Ausgangssignal vorhanden ist, ist die technische Anlage stromlos und somit ungefährlich für eine Person. Es versteht sich, dass diese Möglichkeit nur ein Beispiel darstellt, wie ein sicherer Zustand einer technischen Anlage erreicht werden kann. So sind aus dem Bereich der Sicherheitstechnik weitere Möglichkeiten bekannt, wie mit Hilfe eines Ausgangssignals ein sicherer Zustand hergestellt werden kann. Die hier vorgeschlagene Steuervorrichtung ist nicht auf ein bestimmtes Vorgehen beschränkt.

[0056] Ebenso stellt auch das Watchdog-Prinzip nur eine Möglichkeit dar, die Module zu überwachen. So ist neben der direkten Überwachung einzelner Peripheriemodule bspw. auch eine indirekte Überwachung realisierbar. Bei der indirekten Überwachung wird nur ein Modul (bspw. das Kopfmodul der Steuervorrichtung) nach dem vorstehenden Prinzip stellvertretend für die weiteren Module überwacht. Ist bspw. das Kopfmodul eingerichtet, die zugehörigen Peripheriemodule zu überwachen und im Fehlerfall die Ausgänge abzuschalten, kann es insgesamt ausreichen, nur das Kopfmodul zu überwachen, um indirekt eine Überwachung der Peripheriemodule zu ermöglichen.

[0057] Ferner kann in einer Weiterbildung auch das Schutzmodul eingerichtet sein, ein Heartbeat-Signal auszusenden, um die eigene Funktionsfähigkeit den anderen Modulen der Steuervorrichtung anzuzeigen. Bspw. kann das Schutzmodul ein Heartbeat-Signal an ein Kopfmodul der Steuervorrichtung senden und das Kopfmodul veranlasst das Abschalten der Ausgänge, wenn das Heartbeat-Signal nicht erwartungsgemäß empfangen wird. Auf diese Weise überwachen die anderen Module das Schutzmodul und veranlassen das Einnehmen eines sicheren Zustands, falls in der Potentialgruppe des Schutzmoduls ein Fehler auftreten sollte. Die Module der Steuervorrichtung und das Schutzmodul können sich in dieser Ausgestaltung somit gegenseitig überwachen, wobei aufgrund der Zugehörigkeit zu getrennten Potentialgruppen Fehler gemeinsamer Ursache besser erkannt werden können.

[0058] Das Bestätigen durch das Schutzmodul kann in der vorstehend genannten Weise erfolgen. Mit anderen Worten, das Schutzmodul hat eine eigene Ausgabe-Baugruppe und stellt in Abhängigkeit der Überwachung der anderen Module ein eigenes Ausgangssignal bereit, welches mit den eigentlichen Ausgangssignalen der Steuervorrichtung verknüpft wird. Eine alternative Ausgestaltung wird mit Bezug auf Fig. 3 im Folgenden beschrieben.

[0059]  Fig. 3 zeigt eine schematische Darstellung eines zweiten Ausführungsbeispiels einer Steuervorrichtung mit einem Einspeisemodul, das die Funktion eines Schutzmoduls wahrnimmt. Gleiche Bezugsziffern bezeichnen gleiche Teil wie zuvor in Fig. 1.

[0060] Wie das Ausführungsbeispiel nach Fig. 1, umfasst auch das Ausführungsbeispiel gemäß Fig. 3 eine Steuervorrichtung 10 mit einem Kopfmodul 12, einem Eingangsmodul 14 und einem Ausgangsmodul 16. Die Module arbeiten und kommunizieren untereinander in der zuvor mit Bezug auf Fig. 1 beschriebenen Weise. Ebenfalls sind die Module in der zuvor beschriebenen Weise in dem modularen Aufbau zu einer ersten Potentialgruppe zusammengefasst. Das Kopfmodul 12, das Eingangsmodul 14 und das Ausgangsmodul 16 werden von einem erste Versorgungsspannungsanschluss 34 gespeist.

[0061] Im Unterschied zum Ausführungsbeispiel gemäß Fig. 1 verfügt die Steuervorrichtung 10 gemäß dem Ausführungsbeispiel nach Fig. 3 über ein zusätzliches Einspeisemodul 40. Das Einspeisemodul 40 ist dazu eingerichtet, eine externe Peripheriespannung aufzunehmen und für die Bereitstellung der Ausgangsignale zur Verfügung zu stellen. Die Ausgangsmodule 16 der Steuervorrichtung können somit ihre Ausgangsignale aus der externen Peripheriespannung speisen, ohne auf die Spannungsversorgung der Steuervorrichtung zurückgreifen zu müssen. Mit der Hilfe von Einspeisemodulen kann eine Steuervorrichtung einfach skaliert werden, da die Anzahl er Ausgänge nicht durch die eigene Stromversorgung der Steuervorrichtung beschränkt ist.

[0062] Das Einspeisemodul 40 umfasst eine Ein-/Ausgabe-Baugruppe 42, die eingerichtet ist, eine externe Peripheriespannung zu empfangen und an andere Module weiterzuleiten. Die Weiterleitung kann über eine gesonderte Verkabelung oder aber durch eine spezielle Kopplung der Ein-/Ausgabe-Baugruppe 42 mit der Ein-/Ausgabe-Baugruppe eines benachbarten Moduls erfolgen. Die Weiterleitung einer externen Peripheriespannung ist hier schematisch durch den Pfeil 44 angedeutet.

[0063] Die Ein-/Ausgabe-Baugruppe 42 ist ferner dazu eingerichtet, die Weiterleitung ein- und ausschalten zu können. Bspw. verfügt die Ein-/Ausgabe-Baugruppe 42 über ein Schaltelement 46 zwischen einem Eingangsanschluss 48 der externen Peripheriespannung und einem Ausgangsanschluss 50 zu den benachbarten Modulen. Wie hier dargestellt, kann das Schaltelement 46 redundant ausgelegt sein.

[0064] Das Schaltelement 46 kann von einer Logik-Baugruppe 22 des Einspeisemoduls 40 betätigt werden. Mit anderen Worten kann die Logik-Baugruppe 22 des Einspeisemoduls 40 eingerichtet sein, die Weiterleitung der externen Peripheriespannung ein- und auszuschalten. Nur wenn die Logik-Baugruppe 22 die Weiterleitung erlaubt, können die Ausgangsmodule, die ihr Ausgangssignal aus der externen Peripheriespannung speisen, ihre Ausgänge setzen. Die Logik-Baugruppe 22 kann durch das Kontrollieren der Weiterleitung somit auf einfache Weise die Ausgangssignale der abhängigen Ausgangsmodule bestätigen.

[0065] Gemäß dem Ausführungsbeispiel nach Fig. 3 ist das Einspeisemodul 40 so eingerichtet, dass die Logik-Baugruppe 22 einer anderen Potentialgruppe zugeordnet ist als die übrigen Module. Hierfür kann ein zweiter Versorgungsanschluss 36 vorgesehen sein, der nur die Logik-Baugruppe 22 speist, sowie zusätzliche Trenneinrichtungen 52, die die Logik-Baugruppe 22 von den anderen Baugruppen und Modulen trennen. Auf diese Weise wird um die Logik-Baugruppe 22 eine zweite Potentialgruppe 32 gebildet, die von der ersten Potentialgruppe 30 unabhängig ist.

[0066] Die Logik-Baugruppe 22 kann ferner die gleiche Funktion wahrnehmen wie die Logik-Baugruppe 22 des Schutzmoduls 100 gemäß Fig. 1. Das Einspeisemodul 42 ist somit in der Lage einen der oben beschriebenen Überwachungsvorgänge auszuführen, wobei die Bestätigung der Ausgänge über die gesteuerte Weiterleitung der externen Peripheriespannung erfolgt. Mit anderen Worten ist gemäß dem Ausführungsbeispiel nach Fig. 3 ein Einspeisemodul 40 durch das Bereitstellen einer eigenen Potentialgruppe um die Aufgaben eines Schutzmoduls erweiterbar. Einspeisemodul und Schutzmodul sind auf diese Weise zu einem Modul integriert, wodurch die Steuervorrichtung kleiner und einfacher ausgestaltet sein kann. Gleichzeitig ist ein effektiver Schutz gegen Fehler gemeinsamer Ursache möglich.

[0067]  Fig. 4 und Fig. 5 zeigen abschließend je eine Ausführungsform eines Schutzmoduls 100.

[0068]  Fig. 4 zeigt eine schematische Darstellung eines ersten Ausführungsbeispiels eines Schutzmoduls für eine Steuervorrichtung. Das Schutzmodul entspricht dem Schutzmodul wie es in Bezug auf die Fig. 1 beschrieben worden ist. Gleiche Bezugsziffern bezeichnen gleiche Teile wie zuvor.

[0069] Das Schutzmodul 100 ist hier ein eigenständiges Schutzmodul zur Überwachung weiterer Module einer Modulanordnung. In der dargestellten Ausführungsform umfasst das Schutzmodul drei Baugruppen, die als eigenständige Komponenten ausgebildet sein können und sich zu dem Schutzmodul zusammensetzen lassen. Eine eigenständige Komponente ist in diesem Zusammenhang eine Komponente, die nicht für das Schutzmodul spezifisch ist, sondern auch bei anderen Modulen verwendet werden kann.

[0070] Eine erste Baugruppe ist eine Bus-Baugruppe 24, die eine Kommunikationsschnittstelle 54 umfasst. Über die Kommunikationsschnittstelle 54 kann die Bus-Baugruppe mit den zu überwachenden Modulen kommunizieren und Signale von diesen empfangen.

[0071] Die zweite Baugruppe ist eine Logik-Baugruppe 22 mit einer Signalverarbeitungseinrichtung 26. Die Signalverarbeitungseinrichtung 26 wertet die von den zu überwachenden Modulen empfangenen Signale aus und verifiziert den ordnungsgemäßen Betrieb der Module. Die Auswertung kann redundant durch zwei getrennte, sich gegenseitig abgleichende und überwachende Signalverarbeitungseinheiten 56 erfolgen.

[0072] Die dritte Baugruppe ist eine Ausgabe-Baugruppe 42. Über die Ausgabe-Baugruppe 42 kann das Schutzmodul in Abhängigkeit der empfangenen Signale ein Ausgangssignal bereitstellen. Das Ausgangssignal des Schutzmoduls dient der Bestätigung eines oder mehrerer Ausgangssignale eines zu überwachenden Ausgangsmoduls der Steuervorrichtung. Das Ausgangssignal kann ein Freigabesignal 58 sein, das zusätzlich zu den eigentlichen Ausgangssignalen der Steuervorrichtung vorliegen muss, um den Betrieb der technischen Anlage, die durch die Steuervorrichtung kontrolliert wird, freizugeben.

[0073] Das Schutzmodul bildet eine eigenständige Potentialgruppe 32 innerhalb der Steuervorrichtung, in der das Modul eingesetzt wird. Eigenständig bedeutet in diesem Zusammenhang, dass die Potentialgruppe 32 getrennt und unabhängig von einer Potentialgruppe ist, aus der sich die übrigen Module der Steuervorrichtung speisen. Das heißt, zumindest ein Stromkreis innerhalb des Schutzmoduls, der zuständig für die Überwachung und Freigabe ist, ist galvanisch von einem Stromkreis der übrigen Module getrennt. Die Trennung kann über eine Trenneinrichtung 38 erfolgen. Zum Erzeugen der Potentialgruppe kann das Schutzmodul über einen Versorgungsanschluss 34 verfügen, über den das Schutzmodul 100 ein die Potentialgruppe 32 definierendes Potential aufnimmt.

[0074]  Fig. 5 zeigt eine schematische Darstellung eines zweiten Ausführungsbeispiels eines Schutzmoduls in Form eines Einspeisemoduls für eine Steuervorrichtung.

[0075] Das Schutzmodul gemäß Fig. 5 beruht auf dem gleichen Wirkprinzip wie das Schutzmodul gemäß Fig. 4 und ist ebenfalls in drei Baugruppen unterteilt. Die Bus-Baugruppe 24 und die Logik-Baugruppe 22 sind identisch zu den entsprechenden Baugruppen des Schutzmoduls gemäß Fig. 4. Das Schutzmodul 100 gemäß Fig. 5 unterscheidet sich jedoch in der Ausgabe-Baugruppe 42.

[0076] Die Ausgabe-Baugruppe 42 umfasst in diesem Ausführungsbeispiel einen Anschluss 48 zum Aufnehmen eines Potentials sowie einen Anschluss 50, um dieses Potential an ein benachbartes Modul weiterzuleiten. Über das in die Ausgabe-Baugruppe 42 eingespeiste Potential kann ein benachbartes Modul ein Ausgangssignal bereitstellen. Zudem verfügt die Ausgabe-Baugruppe 42 über ein Schaltelement 46 zwischen dem Anschluss 48 und dem Anschluss 50, um ein Verbindung zwischen den beiden Anschlüssen trennen zu können. Das Schaltelement 46 kann von der Logik-Baugruppe 22 gesteuert werden, sodass das Schutzmodul 100 eingerichtet ist, eine Weiterleitung des eingespeisten Potentials zu unterbinden. Auf diese Weise kann das Schutzmodul ein Ausgangssignal jenes Moduls bestätigen, das zur Bereitstellung seines Ausgangssignals auf das eingespeiste Potential zurückgreift.

[0077] Wie bei dem Schutzmodul gemäß Fig. 4 ist auch die Logik-Baugruppe 22 des Schutzmoduls gemäß Fig. 5 in einer eigenständigen Potentialgruppe 32 angeordnet, um in der zuvor beschriebenen Weise eine unabhängige Überwachung gewährleisten zu können.

[0078] Sowohl das Schutzmodul gemäß Fig. 4 als auch das Schutzmodul gemäß Fig. 5 ermöglichen es, innerhalb einer Steuervorrichtung, in der die Module eingesetzt werden, eine bestimmte Quelle an Fehlern gemeinsamer Ursache effektiv auszuschließen.


Ansprüche

1. Steuervorrichtung (10) mit modularem Aufbau zur Steuerung einer technischen Anlage, umfassend:

ein Eingangsmodul (14), das eingerichtet ist, ein Eingangssignal, welches einen Zustand der technischen Anlage beschreibt, zu empfangen, und

ein Ausgangsmodul (16), das eingerichtet ist, ein Ausgangssignal, welches die technische Anlage steuert, in Abhängigkeit des Eingangssignals auszugeben,

gekennzeichnet durch

ein Schutzmodul (100), das in den modularen Aufbau integriert ist und dazu eingerichtet ist, eine Funktionsfähigkeit des Eingangsmoduls (14) und des Ausgangsmoduls (16) zu überwachen und abhängig davon das Ausgangssignal des Ausgangsmoduls (16) zu bestätigen,

wobei das Eingangsmodul (14) und das Ausgangsmodul (14) innerhalb des modularen Aufbaus eine erste Potentialgruppe (30) bilden, und

wobei das Schutzmodul (100) eine zweite von der ersten Potentialgruppe unabhängige Potentialgruppe (32) innerhalb des modularen Aufbaus bildet.


 
2. Steuervorrichtung nach Anspruch 1, wobei die erste Potentialgruppe (30) das Ausgangssignal bereitstellt und die zweite Potentialgruppe (32) ein Signal zur Bestätigung des Ausgangssignals bereitstellt.
 
3. Steuervorrichtung nach einem der Ansprüche 1 oder 2, wobei das Eingangsmodul (14), das Ausgangsmodul (16) und das Schutzmodul (100) je ein Busmodulteil (24) umfassen, über welches das Eingangsmodul (14), das Ausgangsmodul (16) und das Schutzmodul (100) miteinander verbunden sind, wobei das Busmodulteil des Schutzmoduls (100) eine galvanische Trenneinrichtung (38) aufweist, die eingerichtet ist, das Busmodulteil des Schutzmoduls (100) von weiteren Komponenten des Schutzmoduls (100) galvanisch zu trennen.
 
4. Steuervorrichtung nach einem der Ansprüche 1 bis 3, wobei das Eingangsmodul (14) und das Ausgangsmodul (16) eingerichtet sind, in definierten Abständen dem Schutzmodul (100) eine Zustandsinformation zukommen zu lassen, wobei das Schutzmodul eingerichtet ist, das Ausgangssignal in Abhängigkeit der Zustandsinformation zu bestätigen.
 
5. Steuervorrichtung nach Anspruch 4, wobei die erste Potentialgruppe (30) neben dem Eingangsmodul (14) und dem Ausgangsmodul (16) ein oder mehrere weitere Module umfasst, die für eine Bereitstellung des Ausgangssignals relevant sind und die jeweils eingerichtet sind, die Zustandsinformation in dem definierten Abstand zu senden, wobei das Schutzmodul (100) dazu eingerichtet ist, in Abhängigkeit des Empfangs der Zustandsinformationen aller relevanten Module das Ausgangssignal zu bestätigen.
 
6. Steuervorrichtung nach einem der Ansprüche 1 bis 5, wobei das Schutzmodul (100) einen ersten Versorgungsanschluss (34) aufweist, um mit einem Potential verbunden zu werden, welches die zweite Potentialgruppe (32) bildet.
 
7. Steuervorrichtung nach einem der Ansprüche 1 bis 6, wobei das Schutzmodul (100) eine Ausgabe-Baugruppe (42) aufweist, die eingerichtet ist, das Ausgangssignal des Ausgangsmoduls (16) der ersten Potentialgruppe (30) bereitzustellen.
 
8. Steuervorrichtung nach Anspruch 7, wobei das Schutzmodul (100) einen zweiten Versorgungsanschluss aufweist, um mit einem weiteren Potential verbunden zu werden, welches die Ausgabe-Baugruppe (42) speist, und wobei die Ausgabe-Baugruppe (42) galvanisch von dem Schutzmodul (100) getrennt ist.
 
9. Steuervorrichtung nach einem der Ansprüche 1 bis 8, wobei das Schutzmodul (100) mehrkanalig-redundant ausgebildet ist.
 
10. Steuervorrichtung nach einem der Ansprüche 1 bis 9, wobei die Steuervorrichtung eine sichere Steuerung ist und zumindest zwei getrennte Signalverarbeitungskanäle, einen diversitären Aufbau und/oder eine Spannungs- oder Zeitüberwachung aufweist, und/oder wobei die Steuervorrichtung dazu eingerichtet ist, das Ein- und/oder Ausgangsmodul kontinuierlich zu testen sowie ein sicheres Abschaltverhalten in einem Fehler- oder Gefahrenfall zu gewährleisten.
 
11. Schutzmodul (100) zur Überwachung einer Funktionsfähigkeit eines Eingangsmoduls und eines Ausgangsmoduls einer Steuervorrichtung (10) mit modularem Aufbau, umfassend:

eine Bus-Baugruppe (24), die eingerichtet ist, eine Zustandsinformation von dem Eingangsmodul (14) und dem Ausgangsmodul (16) zu empfangen,

eine Logik-Baugruppe (22), die eingerichtet ist, die Zustandsinformation von dem Eingangsmodul (14) und dem Ausgangsmodul (16) zu evaluieren,

eine Ausgabe-Baugruppe (20; 42), die eingerichtet ist, basierend auf der Evaluierung ein Ausgangssignal des Ausgangsmoduls (16) zu bestätigen,

wobei das Eingangsmodul (14) und das Ausgangsmodul (16) innerhalb des modularen Aufbaus eine erste Potentialgruppe (30) bilden, und

wobei zumindest die Logik-Baugruppe (22) des Schutzmoduls (100) eine zweite von der ersten Potentialgruppe unabhängig Potentialgruppe (32) innerhalb des modularen Aufbaus bildet.


 
12. Schutzmodul (100) nach Anspruch 11, ferner umfassend:
eine Trenneinrichtung (38; 52), die dazu eingerichtet ist, einen Stromkreis in der Logik-Baugruppe (22) von einem Stromkreis der Ausgabe-Baugruppe (42) und/oder der Bus-Baugruppe (24) galvanisch zu trennen.
 
13. Schutzmodul (100) nach Anspruch 11 oder 12, wobei die Ausgabe-Baugruppe (42) einen Anschluss (48) zum Aufnehmen einer externen Peripheriespannung aufweist und eingerichtet ist, mittels der externen Peripheriespannung das Ausgangssignal des Ausgangsmoduls (16) zu speisen.
 
14. Schutzmodul (100) nach Anspruch 13, wobei die Logik-Baugruppe (22) dazu eingerichtet ist, ein Speisen des Ausgangssignals aus der externen Peripheriespannung zu unterbinden.
 
15. Verfahren zur Steuerung einer technischen Anlage, umfassend:

- Bereitstellen einer Steuervorrichtung (10) mit modularem Aufbau mit mindestens einem Eingangsmodul (14) und einem Ausgangsmodul (16);

- Empfangen eines Eingangssignals über das Eingangsmodul (14), welches einen Zustand der technischen Anlage beschreibt; und

- Ausgeben eines Ausgangssignals über das Ausgangsmodul (16), welches die technische Anlage steuert, in Abhängigkeit des Eingangssignals; gekennzeichnet durch

- Integrieren eines Schutzmoduls (100) in den modularen Aufbau, welches eine Funktionsfähigkeit des Eingangsmoduls (14) und des Ausgangsmoduls (16) überwacht;

- Bilden einer ersten Potentialgruppe (30) innerhalb des modularen Aufbaus, welche das Eingangsmodul (14) und das Ausgangsmodul (16) umfasst; und

- Bilden einer zweiten von der ersten Potentialgruppe unabhängigen Potentialgruppe (32) innerhalb des modularen Aufbaus, welche das Schutzmodul (100) umfasst.


 




Zeichnung
















Recherchenbericht












Recherchenbericht